Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday 12 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.12

FBI: Hackere bruker falske politiforespørsler for å stjele persondata. Nye råd skal gi tryggere datasentertjenester. Veeam gir ut patch for alvorlig svakhet i Backup Enterprise Manager.

FBI: Hackere bruker falske politiforespørsler for å stjele persondata

FBI har utstedt en advarsel om at hackere utnytter lovlige system for dataforespørsler til å stjele brukerdata fra amerikanske teknologiselskaper. Etter å ha kompromittere e-postadresser tilhørende politi og myndigheter, sender hackerne falske "nødforespørsler" for å få tilgang til sensitiv informasjon som e-postadresser og telefonnumre tilhørende kunder.

FBI har observert en økning i slike angrep siden august, og advarer nå om at kriminelle aktivt selger tilgang til kompromitterte kontoer og tjenester for å utføre disse angrepene. Hackerne utnytter systemet for nødforespørsler, som er ment for å gi politiet rask tilgang til data i tilfeller der det er fare for liv eller eiendom, uten å måtte innhente rettslig godkjennelse.

Nye råd skal gi tryggere datasentertjenester

Stadig flere kritiske samfunnsfunksjoner og -verdier legges over på digital infrastruktur. Det gjør datasentre til en sentral leverandør for norske virksomheter. God kunnskap er viktig når virksomheter skal kjøpe datasentertjenester.

NSM og Nkom står bak felles råd for å bistå offentlige og private virksomheter i kjøpsprosessen. Rapporten er et hjelpemiddel i anbuds- og anskaffelsesprosesser, og tar opp ulike tema virksomheter bør ta stilling til ved anskaffelse av datasentertjenester. Gode risikovurderinger må ligge i bunn. For å hjelpe virksomhetene, er en egen sjekkliste for vurderingspunkter i form av et eget regneark tilgjengelig.

Veeam gir ut patch for alvorlig svakhet i Backup Enterprise Manager

Veeam har lansert en oppdatering for en alvorlig autentiseringsfeil (CVE-2024-40715) i Backup Enterprise Manager. Sårbarheten kan utnyttes av en ekstern angriper via et man-in-the-middle (MiTM) angrep for å omgå autentisering. Veeam anbefaler brukere å installere oppdatering for Backup Enterprise Manager versjon 12.2.0.334 eller oppgradere til den nyeste versjonen av Veeam Backup & Replication.

Sophos advarer samtidig om at ransomware-grupper nå utnytter en tidligere Veeam-sårbarhet (CVE-2024-40711) for å installere skadevare.

Sårbarheter:

Posted by tsoc at 13:15 0 comments

Monday 11 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.11

Rykter om svakhet i Palo Alto-brannmurer.

Rykter om svakhet i Palo Alto-brannmurer

Det går rykter om at det finnes en svakhet i admin-interfacet til Palo Alto-brannmurer som lar angripere kjøre tilfeldig kode på enhetene. Det er så langt ikke kjent detaljer rundt svakheten eller hvem som eventuelt utnytter den.

Palo Alto Networks har gitt ut en rådgivningsartikkel om saken der de anbefaler å kun tillate tilgang til admin-interface fra forhåndsgodkjente interne IP-adresser, og absolutt ikke fra det offentlige Internet. I det siste har det vært mange alvorlige svakheter i admin-interface i brannmurer, VPN-enheter, routere osv. så dette er et godt generelt råd for denne typen enheter.

Posted by tsoc at 12:34 0 comments

Friday 8 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.08

Nordkoreanske hackere angriper kryptoselskaper med ny macOS-malware. Situasjonsrapport fra Telenor SOC - oktober 2024. Hackere utnytter kritisk nulldagssårbarhet i PTZ-kameraer.

Nordkoreanske hackere angriper kryptoselskaper med ny macOS-malware

SentinelOne har avdekket en ny kampanje kalt "Hidden Risk", der nordkoreanske hackere retter seg mot kryptoselskaper med skadevare som infiserer macOS-enheter. Angriperne bruker e-poster med falske nyheter om kryptovaluta-trender for å lokke ofrene til å åpne et ondsinnet program forkledd som en PDF-fil. Kampanjen har sannsynligvis pågått siden juli 2024 og benytter seg av sosial manipulering rettet mot ansatte i kryptovalutasektoren. FBI advarte i september 2024 om slike angrep, som ofte involverer falske jobbtilbud eller investeringsmuligheter for å bygge tillit før skadevaren leveres.

Situasjonsrapport fra Telenor SOC - oktober 2024

Vi har publisert vår situasjonsrapport fra Telenor SOC for oktober 2024. Denne måneden skriver vi blant annet om en økning i større DDoS-angrep mot Norge.

Hackere utnytter kritisk nulldagssårbarhet i PTZ-kameraer

Hackere utnytter to nulldagssårbarheter i PTZOptics’ PTZ-kameraer — CVE-2024-8956 og CVE-2024-8957 — som utgjør en risiko i industrielle, helserelaterte, offentlige og juridiske omgivelser.

GreyNoise oppdaget disse sårbarhetene i april 2024 etter å ha registrert uvanlig aktivitet på sitt honeypot-nettverk.

CVE-2024-8956 muliggjør uautorisert tilgang til kameraets CGI-API og eksponerer sensitiv informasjon som brukernavn og MD5-passordhasher. CVE-2024-8957 åpner for ekstern kodeeksekvering gjennom svak input sanitering i 'ntp_client' binary.

Disse sårbarhetene kan gi full kontroll over kameraene, føre til infeksjon med botnettprogramvare og muligheter for angrep på nettverket. Berørte enheter inkluderer NDI-kompatible kameraer med firmware-versjoner under 6.3.40 på Hi3516A V600 SoC, inkludert kameraer fra PTZOptics, Multicam Systems SAS og SMTAV. Selv om PTZOptics utga en oppdatering 17. september, forblir enkelte modeller, som PT20X-NDI-G2 og PT12X-NDI-G2, upatchede. GreyNoise antar at problemene kan stamme fra VHD Corporation SDK, noe som indikerer at et bredt spekter av enheter kan være påvirket.

Anbefaling:

Brukere bør kontakte sin enhetsleverandør for å undersøke om oppdateringer som retter CVE-2024-8956 og CVE-2024-8957 er inkludert i den nyeste tilgjengelige firmware-oppdateringen for deres enheter.

Posted by tsoc at 13:41 0 comments

Thursday 7 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.07

Cisco har gitt ut flere sikkerhetsoppdateringer. Ny skadevare bruker QEMU-virtualisering for å unngå deteksjon.

Cisco har gitt ut flere sikkerhetsoppdateringer

Cisco har gitt ut en rekke oppdateringer, der den mest alvorlige er en kritisk svakhet i Ultra-Reliable Wireless Backhaul (URWB) aksess-punkter. Svakheten utnyttes gjennom web-grensesnittet og kan gjøre det mulig for en ikke-autentisert angriper å kjøre kommandoer på systemet med root-rettigheter.

Det er også rettet sårbarheter med "høy" kritikalitet i "Cisco Nexus Dashboard Fabric Controller" og "Cisco Enterprise Chat and Email", samt en rekke mindre alvorlige svakheter.

Ny skadevare bruker QEMU-virtualisering for å unngå deteksjon

En ny ondsinnet kampanje kalt CRON#TRAP bruker en ny teknikk der angriperne setter opp et virtuelt Linux-miljø ved hjelp av QEMU-emulering på kompromitterte maskiner. Kampanjen starter med phishing-eposter som inneholder lenker til store zip-filer som inneholder et forhåndskonfigurert bakdør-program i det virtuelle miljøet. Angriperne bruker Chisel, et legitimt verktøy, for å opprette krypterte tunneler for dataoverføring til en kommando- og kontrollserver (C2) i USA. Analyser av det emulerte Linux-miljøet viser at angriperne har utført en rekke ondsinnede aktiviteter, inkludert nettverksrekognosering, privilegieeskalering og dataeksfiltrering.

For å unngå denne typen angrep bør maskiner settes opp til kun å tillate kjøring av forhåndsgodkjente applikasjoner fra spesifikke kataloger.

Posted by tsoc at 12:55 0 comments

Wednesday 6 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.06

Mann arrestert i Canada etter Snowflake-innbrudd. Kritiske sårbarheter i Aruba-aksesspunkter. OWASP har sluppet rådgivning rundt AI-sikkerhet.

Mann arrestert i Canada etter Snowflake-innbrudd

KrebsOnSecurity opplyser at en person er arrestert i Candada, relatert til datainnbruddene hos Snowflake tidligere i år. Arrestasjonen skjer på anmodning fra amerikanske myndigheter, som vil kreve utlevering. Tidligere i år var rundt 165 kunder av Snowflake utsatt for innbrudd i sine bedrifts-kontoer hos leverandøren, med påfølgende tyveri av data og utpressingforsøk. Blant de mest kjente ofrene var Ticketmaster, AT&T og Santander Bank. Tilgangen ble oppnådd ved å bruke passord fra infeksjoner med informasjons-stjelende malware. Snowflake hadde ikke krav om to-faktor autentisering, men har siden fått dette.

Trusselaktøren bak angrepet ble omtalt som UNC5537, og KrebsOnSecurity har nå avslørt identiteten til to av medlemmene. Den andre skal oppholde seg i Tyrkia og er allerede ettersøkt av USA.

Kritiske sårbarheter i Aruba-aksesspunkter

HelseCERT melder at HPE Aruba Networking den 5. november ga ut nye oppdateringer som lukker kritiske sårbarheter i aksesspunktene deres. Vellykket utnyttelse gjør det mulig for en uautentisert angriper å fjernkjøre vilkårlig kode som en privilegert bruker.

To CVE-er omhandler samme sårbarhet:

  • CVE-2024-42509 med CVSS-score 9.8 (KRITISK)

  • CVE-2024-47460 med CVSS-score 9.0 (KRITISK)

Sårbarhetene gjelder en kommandoinjeksjon i CLI-tjenesten som er tilgjengelig via PAPI-protokollen på UDP-port 8211. Utnyttelse forutsetter nettverkstilgang til enheten.

Følgende produkter er sårbare:

  • Instant AOS-8

  • AOS-10

Sårbarheten lukkes i følgende versjoner:

  • AOS-10.7.x.x:    10.7.0.0 og over

  • AOS-10.4.x.x:    10.4.1.5 og over

  • Instant AOS-8.12.x.x:  8.12.0.3 og over

  • Instant AOS-8.10.x.x:  8.10.0.14 og over

Merk at sårbarheten berører mange versjoner som ikke lenger får oppdateringer.

OWASP har sluppet rådgivning rundt AI-sikkerhet

OWASP Foundation (Open Source Foundation for Application Security) har sluppet ny rådgivning rundt AI-sikkerhet. OWASP er mest kjent for sin topp 10-liste over vanlige sårbarheter i web-applikasjoner. De har nå gitt ut informasjon relatert til generativ AI, inkludert en topp 10-liste over sårbarheter for LLM-applikasjoner.

Posted by tsoc at 13:39 0 comments

Tuesday 5 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.05

To av månedens patchede Android-svakheter utnyttes i aktive angrep. Svindlere misbruker DocuSign-API for å sende overbevisende falske fakturaer.

To av månedens patchede Android-svakheter utnyttes i aktive angrep

Google har gitt ut sin månedlige pakke med sikkerhetsoppdatering for Android, der det advares om at to av svakhetene allerede utnyttes aktivt i begrensede angrep. Totalt fikses 44 svakheter.

Én av svakhetene, CVE-2024-43047, er en "use-after-free"-svakhet, i FastRPC-driveren til Qualcomm-brikkesettet, som kan føre til minnekorrupsjon når den utnyttes av lokale angripere med vanlige privilegier. Vi omtalte denne svakheten for første gang i nyhetsbrevet 8. oktober, da både Google og Amnesty meldte om begrenset utnyttelse.

Den andre svakheten som utnyttes aktivt er CVE-2024-43093. Svakheten ligger i Androids rammeverk, men få detaljer er så langt kjent.

Svindlere misbruker DocuSign-API for å sende overbevisende falske fakturaer

Cyberkriminelle utnytter DocuSign-APIer for å sende falske fakturaer som ser påfallende ekte ut, ved å bruke legitime DocuSign-kontoer og maler. Svindlerne oppretter betalte DocuSign-kontoer, som gir dem mulighet til å endre maler og bruke APIet direkte for å etterligne kjente programvareselskaper som Norton.

Siden fakturaene sendes direkte gjennom DocuSign sin plattform, ser de legitime ut for e-posttjenester og spam/phishing-filtre, og det er ingen ondsinnet kode eller vedlegg å oppdage. Ved å utnytte APIer som "Envelopes:create", kan angriperne automatisere prosessen og sende ut store mengder falske fakturaer med minimal manuell innsats.

Saken viser viktigheten av gode prosedyrer rundt innkjøp med matching av kjøp til riktig faktura.

Posted by tsoc at 13:44 0 comments

Monday 4 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.04

Det har vært en rolig helg.

Posted by tsoc at 13:19 0 comments

Friday 1 November 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.11.01

Sophos avslører hvordan hackere gjentatte ganger angrep selskapets systemer. Trusselaktør utnytter skjult nettverk for å utføre passordspray-angrep.

Sophos avslører hvordan hackere gjentatte ganger angrep selskapets systemer

Det britiske cybersikkerhetsselskapet Sophos har dokumentert en langvarig konflikt mellom firmaet og kinesiske statsstøttede hackere, som har angrepet deres systemer fra 2018. Angrepene inkluderte blant annet et vellykket hackerangrep på Sophos' kontor i India, hvor hackerne fikk initiell tilgang via en veggmontert skjerm.

Hackerne benyttet avanserte teknikker som SQL-injeksjon, kommandoinjeksjon, et brukerland-rootkit kalt TERMITE, trojanske Java-filer og et unikt UEFI-bootkit. Sophos svarte ved å distribuere egne etterretningsimplantater gjennom sine systemer for å overvåke hackernes verktøy, bevegelser og taktikker. De samarbeidet også med Nederlands nasjonale cybersikkerhetssenter for å beslaglegge servere som var vertskap for angriperdomener.

Trusselaktør utnytter skjult nettverk for å utføre passordspray-angrep

Microsoft har fulgt med på trusselaktøren kalt Storm-0940, som benytter et nettverk av kompromitterte små kontor- og hjemmerutere (kalt CovertNetwork-1658) til å gjennomføre passordspray-angrep. Nettverket består hovedsakelig av TP-Link rutere som er hacket ved å utnytte en ukjent sårbarhet, og som muliggjør kjøring av angripers kode.

Trusselaktøren gjennomfører lavvolum passordsprayeangrep, med gjennomsnittlig bare ett påloggingsforsøk per konto per dag, noe som gjør angrepene vanskelige å oppdage. Etter at sikkerhetsleverandører som Sekoia og Team Cymru rapporterte om nettverket i juli og august 2024, har bruken av den opprinnelige infrastrukturen gått kraftig ned. Microsoft mener at trusselaktøren sannsynligvis arbeider med å skaffe ny infrastruktur som ikke lar seg så lett kjenne igjen. Angrepene retter seg primært mot organisasjoner i Nord-Amerika og Europa innenfor sektorer som tenketanker, myndigheter, lov- og forsvarsindustrien.

Les hele rapporten for oversikt over TTPer og råd for å beskytte seg mot denne typen angrep.

Posted by tsoc at 13:52 0 comments
Subscribe to: Posts (Atom)
 
>